يقوم القراصنة بإخفاء أدوات الفدية داخل الأجهزة الافتراضية باستخدام QEMU، مما يسمح بحدوث الهجمات بشكل يكاد يكون غير مرئي
اختراقات جديدة باستخدام الأجهزة الافتراضية المخفية: كيف يتجنب المهاجمون أنظمة الأمان
في عالم الأمان السيبراني المتطور، يظهر أسلوب جديد يهدد فاعلية أنظمة الحماية: استخدام الأجهزة الافتراضية المخفية للتسلل إلى الشبكات والتملص من الرقابة. إذ يعتمد المهاجمون على أدوات افتراضية موثوقة وبرمجيات مدمجة لإخفاء أنشطتهم الخبيثة، مما يجعل الكشف عنها أكثر صعوبة ويهدد أمن المؤسسات بشكل متزايد.
## تزايد استخدام الأجهزة الافتراضية المخفية في الهجمات السيبرانية
تشير تحليلات خبراء شركة Sophos إلى أن هذه الطريقة، رغم أنها ليست جديدة، إلا أنها شهدت انتعاشًا في الآونة الأخيرة من خلال حملتين هجوميتين نشطتين، تم تتبعها باسمَي STAC4713 وSTAC3725 منذ نهاية العام الماضي.
### حملة STAC4713: اختراق خفي بواسطة QEMU
في إطار هذه الحملة، قام المهاجمون بإنشاء مهمة مجدولة باسم TPMProfiler، لتشغيل جهاز افتراضي مخفي باستخدام أداة QEMU، مع امتيازات على مستوى النظام. استخدم المهاجمون صور أقراص مخادعة، بدأت على شكل ملفات قواعد بيانات ثم تحولت إلى مكتبات ارتباط ديناميكية. بعد التشغيل، قام الجهاز الافتراضي بإنشاء أنفاق SSH عكسية، مما أتاح لهم الوصول عن بُعد بشكل سري، وتشغيل أدوات سرية، وجمع بيانات الاعتماد بدون أن يكتشفها أنظمة الأمان التقليدية.
كما استغل المهاجمون أدوات مدمجة في نظام ويندوز مثل Microsoft Paint، Notepad، وEdge، للوصول إلى الملفات والكشف عن الشبكة، معتمدين على برمجيات موثوقة لدمج أنشطتهم الخبيثة في سلوك النظام الطبيعي.
### استغلال الثغرات والاختراقات السابقة
استخدمت الحملة، في مراحلها الأولى، أنظمة VPN غير محمية بكامل قوتها، بالإضافة إلى استغلال ثغرة CVE-2025-26399 في نظام SolarWinds Web Help Desk. تظهر هذه الطرق المتنوعة كيف يتكيف المهاجمون مع نقاط الضعف المتاحة، ويعتمدون أدوات مختلفة حسب الحاجة.
وقد ربطت شركة Sophos حملة STAC4713 ببرمجية الفدية PayoutsKing، التي تركز على تشفير البيئات الافتراضية، مع استهدافها لنظام hypervisors وتوجيه أدواتها للعمل عبر أنظمة VMware وESXi.
### حملة STAC3725: استغلال ثغرات Citrix
أما الحملة الثانية، STAC3725، فاستهدفت استغلال ثغرة CitrixBleed2 للحصول على وصول أولي، قبل أن يقوم المهاجمون بتثبيت برمجيات الوصول عن بُعد. بعد ذلك، قاموا بتشغيل جهاز افتراضي باستخدام QEMU، لتجميع أدوات الهجوم بشكل يدوي، بهدف سرقة البيانات وفحص الشبكة.
بدلاً من الاعتماد على أدوات جاهزة، قام المهاجمون بتخصيص أدواتهم داخل الجهاز الافتراضي، مما عزز من إمكانية التمويه وتقليل فرص الكشف بواسطة أنظمة الحماية التي تعتمد على التوقيعات.
## أهمية التوعية والحماية
تحذر شركة Sophos من أن إخفاء الأنشطة داخل الأجهزة الافتراضية يمثل تهديدًا متصاعدًا، ويؤكد الخبراء على أهمية وجود حماية فعالة للنقاط النهائية، ومراقبة الشبكة بشكل دوري، وتحديث الأنظمة بسرعة للتصدي لهذه الأساليب المراوغة.
باتت الهجمات باستخدام الأجهزة الافتراضية المخفية تشكل تحديًا جديدًا يستدعي من المؤسسات تعزيز استراتيجيات الأمان، واعتماد حلول متقدمة لضمان الكشف المبكر ومنع الاختراقات.
—
تابع TechRadar على Google News وكن من أوائل من يحصل على أخبارنا، مراجعاتنا، وآرائنا الخبيرة في تغذيتك الرقمية.
📌 هذا المقال تم إعادة تحريره باستخدام الذكاء الاصطناعي مع الحفاظ على المصدر الأصلي.